この記事は、Azure セキュリティ設計領域のに関する考慮事項と推奨事項に基づいています。 Oracle Exadata Database@Azureの主要な設計上の考慮事項と推奨事項を示します。
概要
ほとんどのデータベースには、データベース レベルの保護を超えて高度にセキュリティで保護されたアーキテクチャが必要な機密データが含まれています。 多層防御戦略は、包括的なセキュリティを確保するために役立つ複数の防御メカニズムで構成されています。 この方法では、ネットワーク防御など、単一の種類のセキュリティへの依存を防ぐことができます。 防御メカニズムには、強力な認証と承認フレームワーク、ネットワーク セキュリティ、保存データの暗号化、転送中のデータの暗号化が含まれます。 この多層戦略を使用して、Oracle ワークロードを効果的にセキュリティで保護することができます。
詳細については、専用のインフラストラクチャ および Exadata セキュリティ制御に関する Oracle Exadata Database@Azureのセキュリティ ガイド 参照してください。
設計に関する考慮事項
Oracle Exadata Database@Azureのセキュリティ対策を設計するときは、次のガイダンスを考慮してください。
Oracle Database@Azureは、Microsoft データセンターに併置されている Oracle Cloud Infrastructure (OCI) 上で実行される Oracle データベース サービスです。
Oracle Exadata Database@Azure リソースを管理するには、Azure と OCI クラウド プラットフォームを統合する必要があります。 それぞれのセキュリティのベスト プラクティスを使用して、各プラットフォームを管理します。 Azure コントロール プレーンは、仮想マシン (VM) クラスターやネットワーク接続など、インフラストラクチャのプロビジョニングを管理します。 OCI コンソールは、データベース管理と個々のノード管理を処理します。
Oracle Database@Azureは、サブネットの委任を通じて Azure 仮想ネットワークに統合されます。
注
Oracle Exadata Database@Azureには、既定では受信または送信のインターネット アクセスがありません。
Oracle Database@Azure クライアント サブネットは、ネットワーク セキュリティ グループ (NSG) をサポートしていません。
Oracle Exadata Database@Azure ソリューションは、伝送制御プロトコル (TCP) ポートの定義済みの一覧を使用します。 既定では、これらのポートは OCI 内の NSG によって管理されるため、他のサブネットからアクセスできません。
既定では、Oracle Exadata Database@Azureでは保存データの暗号化が有効になります。 透過的なデータ暗号化機能を使用して、データベース レイヤーで暗号化を適用します。 この暗号化は、コンテナー (CDB$ROOT) とプラグ可能なデータベースをセキュリティで保護するのに役立ちます。
既定では、データベースは Oracle で管理される暗号化キーを使用して暗号化されます。 キーは AES-128 暗号化を使用し、VM クラスターのファイル システム内のウォレットにローカルに格納されます。 詳細については、「テーブルスペース暗号化の管理」を参照してください。
カスタマー マネージド暗号化キーは、OCI Vault または Oracle Key Vaultに格納します。 Oracle Exadata Database@Azureでは、Azure Key Vault はサポートされていません。
既定では、データベース バックアップは同じプライマリ暗号化キーで暗号化されます。 復元操作中にこれらのキーを使用します。
Oracle Exadata Database@Azureに Microsoft 以外のエージェントと Oracle エージェントをインストールします。 データベース オペレーティング システムのカーネルが変更または侵害されないようにします。
設計に関する推奨事項
Oracle Exadata Database@Azure デプロイを設計するときは、次のセキュリティに関する推奨事項を考慮してください。
異なるチームがさまざまな理由で同じインフラストラクチャ上の複数のデータベースにアクセスする場合は特に、インフラストラクチャ アクセスとデータ サービスアクセスを分離します。 ワークロード レベルでネットワークと管理の分離を実現するには、VM クラスターを別の仮想ネットワークにデプロイします。
NSG ルールを使用してソース IP アドレスの範囲を制限します。これは、データ プレーンと仮想ネットワーク アクセスをセキュリティで保護するのに役立ちます。 不正アクセスを防ぐには、セキュリティで保護された通信に必要なポートのみを開き、 最小特権の原則を適用します。
ネットワーク アドレス変換 (NAT) を構成するか、送信インターネット アクセスが必要な場合は、Azure Firewall などのプロキシまたは Microsoft 以外のネットワーク仮想アプライアンスを使用します。
次の主要な管理に関する推奨事項を検討してください。
Oracle Exadata Database@Azure には、OCI Vault との統合が組み込まれています。 プライマリ暗号化キーを OCI Vault に格納する場合、キーは Azure の外部の OCI にも格納されます。
すべてのデータとサービスを Azure 内に保持する必要がある場合は、Oracle Key Vault を使用します。
Oracle Key Vault には、Oracle Exadata Database@Azureとの統合が組み込まれていない。 Azure 上の Oracle Key Vault は、マネージド サービスとして提供されていません。 ソリューションをインストールし、Oracle Exadata Database@Azureにデータベースを統合し、ソリューションの高可用性を維持する必要があります。 詳細については、「Microsoft Azureでの Oracle Key Vault イメージの作成」を参照してください。
暗号化キーの可用性を確保するには、複数プライマリ Oracle Key Vault デプロイを作成します。 堅牢な高可用性を実現するには、少なくとも 2 つの可用性ゾーンまたはリージョンにまたがる 4 つのノードを持つ複数プライマリ Oracle Key Vault クラスターをデプロイします。 詳細については、「Oracle Key Vault のマルチプライマリ クラスターの概念を参照してください。
オンプレミス環境またはその他のクラウド プラットフォームにまたがるハイブリッド アーキテクチャが必要な場合は、Oracle Key Vault を使用します。 これらの環境では、このソリューションがサポートされています。
注
Oracle Key Vault には個別のライセンスが必要です。
キー管理プラットフォームを最終処理する必要がある場合、または概念実証またはパイロットを実施している場合は、ソフトウェア キーストアにローカルに格納されているウォレットから始めます。
キーストアに移行するプロセスは、キー管理プラットフォームによって異なります。 OCI ボールトを選択した場合、遷移は動的な操作です。 Oracle Key Vault を選択した場合は、暗号化キーを Oracle Key Vault プラットフォームに手動で移行する必要があります。
独自の暗号化キーを使用する場合は、セキュリティとコンプライアンスの標準を守るために、厳密なキーローテーション プロセスを確立します。
暗号化キーとデータベース バックアップを別々の環境に格納して、セキュリティを強化し、データ侵害のリスクを最小限に抑えます。
長期的なバックアップを実行する場合は、復元操作のために古い暗号化キーを保持します。
データベースまたはグリッドインフラストラクチャのパッチが干渉しない場所に、Oracle Exadata Database@Azureに Microsoft または Oracle 以外のエージェントをインストールします。